Regroupement du temps d’inscription dans Microsoft Intune

Configurez le regroupement du temps d’inscription pour accélérer l’approvisionnement des applications et des stratégies lors de l’inscription des appareils. Avec le regroupement de temps d’inscription, vous pouvez ajouter un groupe de sécurité Microsoft Entra dans la stratégie d’inscription afin que les appareils soient ajoutés au groupe pendant l’inscription, plutôt qu’après. Vous pouvez ensuite affecter les applications et la configuration de stratégie requises au groupe. Cette connaissance préalable du groupe de sécurité dont l’appareil deviendra membre après l’inscription permet à Intune de fournir rapidement les configurations à l’appareil lors de l’inscription, ce qui réduit la latence post-inscription et améliore le temps de productivité.

Si vous ne configurez pas le regroupement de temps d’inscription, les appareils inscrits sont regroupés en fonction des propriétés d’inventaire et des ID d’étiquette de groupe. Ensuite, Microsoft Intune fournit des applications et des stratégies basées sur l’appartenance au groupe. Microsoft Intune ne peuvent déterminer les applications et les stratégies dont un appareil a besoin qu’une fois l’appareil regroupé, les appareils regroupés de cette façon ne sont donc souvent pas prêts à être utilisés immédiatement. Jusqu’à 8 heures peuvent être nécessaires après l’inscription pour que les appareils reçoivent toutes les applications et stratégies.

Cet article fournit une vue d’ensemble du regroupement de temps d’inscription, comment le configurer et les limitations des fonctionnalités.

Configuration requise

Configuration requise pour la plateforme de l’appareil

Le regroupement de temps d’inscription est pris en charge sur les plateformes suivantes :

• Windows 11
• Android Entreprise
• tvOS
• visionOS

Méthodes d’inscription

Le regroupement de temps d’inscription est pris en charge sur les appareils provisionnés via :

• Préparation de l’appareil Windows Autopilot
• Android Entreprise
• Inscription automatisée des appareils pour tvOS et visionOS

Pour Android Entreprise, le regroupement de temps d’inscription est pris en charge avec les stratégies d’inscription suivantes :

• Android Entreprise complètement managé
• Profil professionnel Android Enterprise appartenant à l’entreprise
• Android Entreprise dédié

Conditions requises pour les rôles

Les autorisations dont vous avez besoin dépendent de la plateforme que vous configurez :

• Windows Autopilot : autorisations de création et de modification des stratégies de préparation des appareils Windows Autopilot, et autorisation d’attribution d’appartenance d’appareil au moment de l’inscription (disponible dans les rôles personnalisés sous Programmes d’inscription).
• tvOS et visionOS : autorisations pour créer et modifier des stratégies d’inscription tvOS et visionOS, ainsi que l’autorisation d’attribution d’appartenance d’appareil au moment de l’inscription (disponible dans les rôles personnalisés sous Programmes d’inscription).
• Android Enterprise : autorisations pour créer et modifier des stratégies d’inscription Android Entreprise, et l’attribution de l’appartenance de l’appareil au moment de l’inscription pour l’autorisation Android Enterprise (disponible dans les rôles personnalisés sous Android Entreprise).

Pour ajouter l’Intune application interne en tant que propriétaire d’un groupe de sécurité, vous devez être administrateur de groupe Microsoft Entra (ou posséder l’autorisation microsoft.directory/groups/owners/update), ou être un propriétaire existant du groupe de sécurité.

Le groupe désigné doit être configuré en tant que groupe d’étendues pour que l’administrateur puisse l’utiliser dans la configuration du regroupement du temps d’inscription.

Conseil

Pour plus d’informations sur la création de rôles personnalisés, consultez Contrôle d’accès en fonction du rôle.

Étape 1 : Créer Microsoft Entra groupe de sécurité

Créez un groupe de sécurité Microsoft Entra statique à utiliser dans les stratégies d’inscription. Pour configurer le regroupement de temps d’inscription, vous devez ajouter le client d’approvisionnement Intune en tant que propriétaire du groupe de sécurité. Vous n’avez pas besoin d’ajouter des appareils ou des utilisateurs à ce groupe pour le moment.

La procédure suivante explique comment créer un groupe de sécurité dans le centre d’administration Microsoft Intune. Pour plus d’informations et pour connaître les étapes spécifiques à Windows 11, consultez Windows Autopilot - Créer un groupe d’appareils.

Après avoir configuré le regroupement de l’heure d’inscription dans la stratégie d’inscription, vous pouvez revenir à ce groupe de sécurité pour ajouter et supprimer des appareils. Tout administrateur Intune disposant des autorisations de groupe de sécurité appropriées peut modifier le groupe de sécurité.

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. Accédez à Groupes.

3. Sélectionnez Tous les groupes, puis Nouveau groupe.

4. Dans l’écran Nouveau groupe qui s’ouvre, entrez les informations suivantes :

   1. Type de groupe : Sélectionnez Sécurité.

   2. Nom du groupe : entrez un nom pour le groupe d’appareils. Exemple : Appareils d’inventaire partagé

   3. Description du groupe : entrez une description pour le groupe d’appareils.

   4. Microsoft Entra rôles peuvent être attribués au groupe : sélectionnez Non.

   5. Type d’appartenance : sélectionnez Affecté.

   6. Propriétaires : sélectionnez le lien Aucun propriétaire sélectionné .

   7. Dans l’écran Ajouter des propriétaires qui s’ouvre, ajoutez le client d’approvisionnement Intune en tant que propriétaire :

      1. Faites défiler la liste des objets et sélectionnez le principal de service Intune Client d’approvisionnement avec AppId f1346770-5b25-470b-88bd-d5744ab7952c. Vous pouvez également utiliser la barre de recherche pour rechercher et sélectionner Intune client d’approvisionnement.

         Remarque

         • Dans certains locataires, le principal de service peut avoir le nom de Intune Autopilot ConfidentialClient au lieu de Intune client d’approvisionnement. Tant que l’AppID du principal de service est f1346770-5b25-470b-88bd-d5744ab7952c, il s’agit du principal de service approprié.

         • Si le client d’approvisionnement Intune ou Intune principal de service Autopilot ConfidentialClient avec l’AppId f1346770-5b25-470b-88bd-d5744ab7952c n’est pas disponible dans la liste des objets ou lors de la recherche, voir Ajout du principal de service de client Intune pour les étapes suivantes.

      2. Choisir Sélectionner.

   8. Sélectionnez Créer pour terminer la création du groupe d’appareils affecté.

Étape 2 : Configurer le regroupement de temps d’inscription dans la stratégie d’inscription

La fonctionnalité de regroupement de temps d’inscription s’applique uniquement aux nouvelles inscriptions d’appareils. Elle n’affecte pas ou ne s’applique pas aux appareils déjà inscrits.

Vous pouvez ajouter un groupe de sécurité Microsoft Entra statique par stratégie d’inscription. En tant qu’administrateur Intune, vous pouvez uniquement ajouter Microsoft Entra groupes autorisés dans le groupe d’étendues pour votre rôle Intune. Assurez-vous que les groupes d’étendue et les étiquettes de groupe sont affectés aux rôles appropriés afin que les administrateurs puissent voir le groupe de sécurité lors de la création de la stratégie.

1. Dans le centre d’administration Microsoft Intune, accédez à Appareils.

2. Développez Intégration de l’appareil, puis sélectionnez Inscription.

3. Sélectionnez le type d’inscription que vous configurez et créez une stratégie.

   • Windows : Créer une stratégie de préparation des appareils Windows Autopilot

   • Android Enterprise avec profil professionnel : configurer Intune’inscription des appareils Android Enterprise appartenant à l’entreprise avec profil professionnel

   • Android Enterprise dedicated : configurer Intune’inscription d’appareils Android Enterprise dédiés

   • Android Enterprise complètement managé : configurer l’inscription pour les appareils Android Entreprise entièrement gérés

   • tvOS : Configurer la stratégie d’inscription pour tvOS

   • visionOS : Configurer la stratégie d’inscription visionOS

   Conseil

   Le regroupement de temps d’inscription n’est pas pris en charge avec le jeton de préproduction. Si vous configurez une stratégie pour une utilisation avec le regroupement du temps d’inscription, utilisez le jeton d’entreprise entièrement géré (par défaut) ou le jeton de profil professionnel (par défaut) appartenant à l’entreprise.

Après avoir enregistré la stratégie, vous pouvez y revenir à tout moment pour modifier les paramètres du groupe. Mises à jour que vous apportez aux paramètres de groupe ne s’appliquent pas aux appareils déjà inscrits avec la stratégie. Si vous supprimez un appareil du groupe, Microsoft Intune réévalue les configurations de stratégie et force l’appareil à case activée pour obtenir de nouvelles configurations.

Étape 3 : Inscrire des appareils

Lorsque les appareils auxquels la stratégie d’inscription est affectée s’inscrivent, ils deviennent membres du groupe de sécurité Microsoft Entra et commencent à recevoir des applications et des stratégies. Une fois que l’administrateur ou l’utilisateur final a terminé la configuration initiale de l’appareil, ils arrivent sur l’écran d’accueil de l’appareil. À ce stade, toutes les applications et stratégies ciblées doivent déjà se trouver sur l’appareil ou en cours d’installation.

Si vous supprimez un appareil du groupe, Microsoft Intune réévalue les configurations de stratégie et force l’appareil à case activée pour obtenir de nouvelles configurations.

Reporting

Pour accéder aux rapports pour le regroupement du temps d’inscription, accédez à Appareils>Surveiller les>échecs de regroupement du temps d’inscription. Le rapport disponible affiche uniquement les échecs. Plus précisément, des informations sur les appareils qui n’ont pas pu devenir membres d’un groupe d’appareils statique spécifique pendant ces processus de configuration :

• Provisionnement de la préparation Windows Autopilot
• Inscription Android Enterprise entièrement managée
• Inscription du profil professionnel Android Enterprise appartenant à l’entreprise
• Inscription dédiée Android Enterprise
• Inscription automatisée des appareils mobiles Apple

Les informations récemment mises à jour peuvent prendre jusqu’à 20 minutes pour apparaître dans le rapport. Vous devez disposer de Microsoft.IntuneAutorisation RBAC /ManagedDevices/Read pour afficher le rapport.

Importante

Ce rapport fournit des informations sur les appareils qui ne peuvent pas être ajoutés aux groupes de sécurité configurés dans les stratégies d’inscription. Si vous ne rejoignez pas le groupe pendant l’inscription, la configuration peut changer ou être supprimée de l’appareil après l’inscription. Nous vous recommandons donc de surveiller le rapport en continu afin que vous puissiez prendre immédiatement les mesures d’atténuation nécessaires. Vous pouvez, par exemple, utiliser une application personnalisée qui analyse les données du rapport selon une planification régulière. L’application génère ensuite une notification lorsqu’elle trouve de nouveaux appareils dans le rapport.

Problèmes connus et conseils

Il n’existe aucun problème ou limitation connu avec le regroupement du temps d’inscription.

Résolution des problèmes

Si un comportement inattendu se produit, contactez Support Microsoft avec les informations suivantes :

• Numéro de série de l’appareil.
• Portail d'entreprise journaux d’application, le cas échéant, avec l’ID de journal.
• Horodatage approximatif de l’événement et du fuseau horaire où il s’est produit.
• Captures d’écran du centre d’administration Microsoft Intune ou de l’appareil.
• Explication détaillée du comportement sur l’appareil.